Сертификат SSL IIS 7.5 для веб-сайта, к которому можно получить доступ от другого дюйм/с
Хотя технически можно настроить IIS для поддержки этого типа, вы не сможете получить сертификаты SSL для этого типа. настройки. Я объясню позже ...
При использовании SSL важно помнить, что именно браузер клиента выполняет проверку сертификата. Так что' Важно, какой адрес клиентский браузер использует для подключения к серверу. Это адрес (также называемый обычным именем или CN), для которого должен быть действителен сертификат.
Если у вас есть клиенты, которые подключаются к одному и тому же веб-сайту с двумя разными именами хостов (или IP-адресами в в этом случае) у вас должны быть либо два сертификата для двух имен хостов, либо мультидоменный сертификат. Последний самый простой в установке, но и более дорогой. Но добавить два сертификата на один сайт тоже не так сложно. Вам нужно только убедиться, что у вас есть два отдельных IP-адреса, привязанных к одному и тому же веб-сайту. Для каждой привязки SSL требуется собственный IP-адрес. Поскольку сервер находится во внутренней сети, я думаю, не так сложно добавить дополнительный IP-адрес (например, 198.162.0.10 и 198.162.0. 11 ).
Вы устанавливаете оба сертификата на сервер обычным способом, а затем переходите к привязкам для веб-сайта. Сначала вы добавляете первый IP-адрес (например, 198.162.0.10 ), который используется для доступа к серверу из общедоступного Интернета. Вы выбираете HTTPS в качестве протокола, а затем выбираете сертификат, который имеет общедоступное имя хоста / IP-адрес в качестве общего имени. Не имеет значения, что имя хоста / IP-адрес сертификата не совпадает с внутренним IP-адресом. Опять же, сервер ничего не делает с этим, это клиентский браузер проверяет сертификат.
Затем вы добавляете второй IP-адрес (например, 198.162.0.11 ), который вы используете для доступа к серверу изнутри. Вы снова выбираете HTTPS в качестве протокола, но на этот раз вы выбираете сертификат с внутренним IP-адресом (т.е. 198.162.0.11 ) как общее имя.
Но ... хотя есть несколько центров сертификации, которые предоставляют сертификаты для IP-адресов, это должны быть общедоступные IP-адреса, и вы должны иметь возможность доказать, что вы являетесь владельцем этих IP-адресов. адреса (например, записи RIPE). Однако они не будут предоставлять сертификаты для диапазонов частных IP-адресов (например, 192.168.xx). И это то, что вам нужно для этой настройки, так что вам не повезло.
Два решения: либо убедитесь, что ваш веб-сайт доступен по его общедоступному IP-адресу также из внутренней сети, и получите один сертификат для этого общедоступного IP-адреса. Или сделайте его доступным с одного и того же имени хоста как из общедоступного IP-адреса, так и из внутренней сети. Это имя хоста можно сопоставить с внутренним IP-адресом внутренней сети, это не проблема, до тех пор, пока имя хоста (= общее имя) совпадает. В конце концов, это все, что проверяет браузер.
Итак, насколько я понимаю, сервер опубликован 212.19.10.50: 1234 а есть обратный прокси-сервер, который перенаправляет внешний трафик на сайт? Скорее всего, вам понадобится сертификат для обратного прокси-сервера, чтобы он мог правильно перенаправлять трафик. Этому нужна только внешняя запись DNS.
Вы можете использовать решение с разделенным DNS, где ваш внутренний DNS дает внутренний IP-адрес, а внешний DNS-сервер дает другой, тогда вам нужен только один сертификат сервера без SAN.
В качестве альтернативы, если вам нужны разные URL-адреса, вы можно использовать альтернативные имена субъектов, в этом случае имя субъекта не имеет значения, оно может быть любым. Просто добавьте два SAN, один - 198.162.0.10, а второй - 212.19.10.50 (или их эквиваленты DNS)
. Чтобы упростить задачу, вы можете разместить сайт полностью извне, тогда вам понадобится только один сертификат, и вы не сможете шифровать трафик между прокси-сервер и iis. Или ты мог бы и ты '